#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил значительную эволюцию в киберугрозах, когда противники используют инструменты искусственного интеллекта для операций с вредоносным ПО, особенно с помощью таких семейств, как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) для динамической модификации поведения. Примечательно, что было замечено, что APT28 (спонсируемая российским государством) использует PROMPTSTEAL для запроса LLM в режиме реального времени, в то время как иранская группа TEMP.Zagros интегрирует искусственный интеллект для разработки вредоносного ПО наряду с традиционной тактикой. Этот сдвиг сигнализирует о тенденции использования передовых инструментов искусственного интеллекта, что делает киберугрозы более изощренными и доступными для менее опытных акторов.
-----

Киберпреступники все чаще используют инструменты Искусственного интеллекта в операциях с вредоносным ПО. Вредоносное ПО с поддержкой искусственного интеллекта может динамически изменять свое поведение во время выполнения. Семейства вредоносных ПО, такие как PROMPTFLUX и PROMPTSTEAL, используют большие языковые модели (LLM) для расширения функциональности. Эти вредоносные ПО обладают возможностями "точно в срок", генерируя вредоносные скрипты и запутывая код "на лету", чтобы избежать обнаружения. Использование LLMS позволяет этим вредоносным ПО автономно создавать вредоносные функции. Злоумышленники прибегли к социальной инженерии, чтобы обойти меры защиты от искусственного интеллекта, выдавая себя за студентов или исследователей в области кибербезопасности для получения информации ограниченного доступа. Подпольный рынок инструментов искусственного интеллекта расширяется, способствуя фишингу, разработке вредоносного ПО и исследованию уязвимостей. APT28, актор, спонсируемый российским государством, использует PROMPTSTEAL для запроса команд в LLM. Иранская группа TEMP.Zagros использует искусственный интеллект для разработки индивидуального вредоносного ПО наряду с традиционной тактикой фишинга. Спонсируемые государством акторы из Северной Кореи и Ирана внедряют инструменты генеративного искусственного интеллекта во все свои операции, совершенствуя стратегии от разведки до эксфильтрации данных. Эти события свидетельствуют о том, что квалифицированные противники повышают свою эффективность, в то время как менее квалифицированные акторы получают доступ к передовым инструментам. Растущее использование искусственного интеллекта в киберпреступности подчеркивает необходимость усиления защиты. Мониторинг и исследования этих развивающихся методов имеют решающее значение для снижения рисков.

#ParsedReport #CompletenessLow
13-11-2025

Quantum Route Redirect: Anonymous Tool Streamlining Global Phishing Attack

https://blog.knowbe4.com/quantum-route-redirect-anonymous-tool-streamlining-global-phishing-attack

Report completeness: Low

Threats:
Quantum_route_redirect_tool
Credential_harvesting_technique
Qshing_technique

Victims:
Microsoft 365 users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.002

Soft:
Microsoft Exchange

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 3, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания фишинга, нацеленная на пользователей Microsoft 365, использующая инструмент под названием Quantum Route Redirect, который позволяет киберпреступникам запускать атаки с минимальными техническими знаниями. Этот метод облегчает беспрепятственную кражу учетных данных и обходит стандартные средства защиты, усиливая воздействие фишинга. Кампания подчеркивает растущую изощренность методов фишинга, что требует постоянной корректировки стратегий безопасности электронной почты.
-----

Лаборатория угроз KnowBe4 выявила новую кампанию фишинга, нацеленную на пользователей Microsoft 365, используя продвинутый инструмент, известный как Quantum Route Redirect. Этот инструмент упрощает процесс запуска фишинг-атак, позволяя киберпреступникам выполнять сложные схемы одним щелчком мыши, значительно повышая эффективность их операций. В Quantum Route Redirect используются методы, позволяющие обойти различные технические средства защиты, что усложняет усилия по защите организаций, полагающихся на обычные меры безопасности.

Техника фишинга, используемая в этой кампании, вызывает особое беспокойство, поскольку она предназначена для беспрепятственного кражи учетных данных пользователей. Оптимизируя настройку фишинга, злоумышленникам становится легче охватить более широкую аудиторию при минимизации требуемых технических знаний, что снижает барьер для совершения вредоносных действий. Такая эволюция тактики фишинга подчеркивает необходимость пересмотра организациями своих стратегий обеспечения безопасности электронной почты и их усиления.

В ответ на растущую сложность угроз фишинга KnowBe4 представила решения для обеспечения безопасности, направленные на устранение уязвимостей, присущих Microsoft 365 и шлюзам защищенной электронной почты (SEGs). Эти решения предназначены для расширения возможностей обнаружения, оптимизации реагирования на угрозы и улучшения общей системы безопасности за счет формирования у пользователей культуры проактивной безопасности. Выводы лаборатории угроз KnowBe4 подчеркивают, насколько быстро развиваются технологии фишинга, и подчеркивают постоянную необходимость в бдительности и адаптации методов обеспечения кибербезопасности. Этот инцидент служит важным напоминанием о сохраняющихся угрозах, исходящих от фишинга, и стратегических изменениях, необходимых для эффективной борьбы с ними.

#ParsedReport #CompletenessMedium
13-11-2025

Mines, training, crypto: F6 detected malicious mailings by cyber group CapFIX

https://habr.com/ru/companies/F6/articles/966072/

Report completeness: Medium

Actors/Campaigns:
Capfix (motivation: cyber_criminal)

Threats:
Capdoor
Dll_sideloading_technique
Clickfix_technique

Victims:
Retail sector, Collection agencies, Microfinance institutions, Insurance companies

Industry:
Retail, Education

Geo:
Ukraine, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1589

IOCs:
File: 10
Url: 1
Path: 4
Command: 1
Domain: 2
IP: 2
Hash: 11

Soft:
CryptoPro

Algorithms:
zip

Win API:
ShellExecuteW

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа CapFIX проводит обманчивую кампанию по электронной почте, нацеленную на такие секторы, как розничная торговля и финансы, используя социальную инженерию для проникновения в системы жертв. Их основным инструментом является бэкдор CapDoor, который обеспечивает несанкционированный доступ к скомпрометированным сетям. Операция подчеркивает необходимость бдительности среди организаций, управляющих конфиденциальными данными, поскольку тактика группы использует кажущиеся законными коммуникации для повышения успеха своего проникновения.
-----

Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую кибергруппе, известной как CapFIX. Эта группа использует тактику, при которой они рассылают обманчивые электронные письма, которые маскируются под сообщения об угрозах, связанных с майнингом, призывая получателей сообщать о том, как противостоять предполагаемым информационным атакам. Основной целью этих сообщений, по-видимому, является проникновение в системы жертв с помощью социальной инженерии.

Операция CapFIX специально нацелена на такие секторы, как розничная торговля, коллекторские агентства, микрофинансовые организации и страховые компании, что указывает на продуманный подход к компрометации организаций, которые управляют конфиденциальными финансовыми и персональными данными. Центральным элементом методологии этой группы является внедрение бэкдора CapDoor, который предназначен для облегчения доступа злоумышленников к скомпрометированным сетям.

F6 составил подробное резюме методов, используемых CapFIX, вместе с соответствующими индикаторами компрометации (IOCs), которые могут быть использованы для обнаружения угроз и смягчения их последствий. Способность группы использовать тактику социальной инженерии с помощью, казалось бы, законных каналов коммуникации повышает их потенциал для успешного проникновения и подчеркивает важность бдительности среди целевых организаций. Выявление такой тактики аналитиками имеет решающее значение для разработки эффективных механизмов защиты от этих типов киберугроз.

#ParsedReport #CompletenessHigh
13-11-2025

Contagious Interview Actors Now Utilize JSON Storage Services for Malware Delivery

https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/

Report completeness: High

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Clickfix_technique
Beavertail
Ottercookie
Invisibleferret
Tsunami_botnet
Tsunami_framework
Anydesk_tool

Victims:
Software developers, Cryptocurrency sector, Web3 projects

Industry:
Financial, Transport, Healthcare

Geo:
Northkorea, Korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566

IOCs:
File: 2
Url: 65
Hash: 1
IP: 48

Soft:
Linux, macOS, Node.JS, Windows Defender

Wallets:
metamask, tronlink

Algorithms:
base64, xor, zip

Languages:
swift, python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview, связанная с злоумышленниками из КНДР, нацелена на разработчиков программного обеспечения с помощью тактики социальной инженерии на таких платформах, как LinkedIn, с целью получения финансовой выгоды за счет скомпрометированной криптовалюты и проектов Web3. Первоначальный доступ достигается путем предоставления троянского кода во время поэтапных опросов с использованием таких полезных программ, как BeaverTail, OtterCookie и InvisibleFerret RAT. Кампания использует сервисы хранения JSON для доставки вредоносного ПО, используя Node.JS и динамические возможности фреймворка InvisibleFerret для эффективной адаптации и эксфильтрации данных.
-----

Кампания Contagious Interview, связанная с злоумышленниками из Корейской Народно-Демократической Республики (КНДР), эволюционировала для использования сервисов хранения JSON, включая JSON Keeper и npoint.io , для доставки вредоносного ПО. Эта кампания, действующая с 2023 года, в первую очередь нацелена на разработчиков программного обеспечения в известных операционных системах, таких как Windows, Linux и macOS, с особым акцентом на лиц, вовлеченных в криптовалютные проекты и Web3. Основной целью кампании является финансовая выгода, направленная на получение доходов для режима КНДР.

Первоначальный доступ к целям достигается с помощью тактики социальной инженерии, включая использование ClickFix и поддельных профилей рекрутеров. В этом сценарии гипотетический медицинский директор обращается к потенциальным жертвам на профессиональных сетевых платформах, таких как LinkedIn, намереваясь предоставить троянский код, замаскированный под демонстрационный проект, во время поэтапных собеседований при приеме на работу. В кампании используются такие известные полезные приложения, как стиллеры BeaverTail и OtterCookie, а также модульный инструмент удаленного доступа InvisibleFerret (RAT), разработанный для облегчения эксфильтрации данных.

Доставка вредоносного ПО происходит, когда жертвами манипулируют, заставляя выполнять задачи кода, связанные с интервью, обычно используя Node.JS . Показатели инфраструктуры злоумышленников предполагают структурированный подход, использующий службы хранения JSON для размещения вредоносных полезных данных, что эффективно позволяет им избегать обнаружения. Исследователи выявили многочисленные хранилища и IP-адреса, связанные с этой кампанией, что еще больше раскрывает использование Railway для размещения дополнительных полезных нагрузок.

InvisibleFerret, ключевой компонент этой атаки, представляет собой модульную структуру вредоносного ПО, разработанную на Python. Такая модульность обеспечивает гибкую работу и адаптацию вредоносного ПО в соответствии с потребностями акторов. Отчеты указывают на то, что некоторые образцы InvisibleFerret были сконфигурированы для сбора дополнительной полезной нагрузки с таких платформ, как Pastebin, что повышает их операционную эффективность.

#ParsedReport #CompletenessLow
13-11-2025

Uncovering a Multi-Stage Phishing Kit Targeting Italy's Infrastructure

https://www.group-ib.com/blog/uncover-phishing-italy/

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Aruba customers, Telecom and internet services users, Financial services customers

Industry:
Financial

Geo:
Italy, Aruba, Italian

ChatGPT TTPs:
do not use without manual check
T1036, T1566.002, T1656

IOCs:
Domain: 7
IP: 7

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был выявлен сложный многоэтапный набор для фишинга, нацеленный на инфраструктуру Италии, использующий передовые методы уклонения и выдающий себя за надежные бренды, такие как Aruba. Атака начинается с Целевого фишинга электронных писем, призывающих к срочности, и приводит жертв на поддельные страницы входа в систему, предназначенные для обхода автоматического обнаружения с помощью фильтрации CAPTCHA. Конфиденциальные данные, включая платежные реквизиты и одноразовые пароли, фильтруются через Telegram, что позволяет злоумышленникам проводить несанкционированные транзакции.
-----

Исследователи Group-IB выявили сложный многоэтапный набор для фишинга, специально предназначенный для инфраструктуры Италии, демонстрирующий эволюцию тактики фишинга, использующей передовые методы уклонения. Этот фреймворк для фишинга имитирует надежные бренды, такие как Aruba, используя такие стратегии, как многоуровневое уклонение, фильтрация КАПЧИ и перехват конфиденциальной информации через Telegram для эксфильтрации данных. Набор работает как полноценное приложение, предназначенное для методичного руководства жертвами в процессе сбора учетных записей в обход автоматизированных систем обнаружения.

Атака фишинга обычно начинается с Целевого фишинга электронных писем, которые создают срочность из-за угроз истечения срока действия услуг или сбоев в платежах. Эти электронные письма направляют жертв на поддельные страницы входа в систему, которые спроектированы так, чтобы напоминать законные почтовые сервисы, такие как Aruba.it . Атака начинается с первоначального запроса CAPTCHA, предназначенного для фильтрации автоматизированного анализа безопасности, таким образом гарантируя, что вредоносный контент достигнет реальных пользователей.

Как только жертвы взаимодействуют с этими страницами, они сталкиваются с многоступенчатым процессом сбора данных. После ввода своих платежных реквизитов жертвы перенаправляются на поддельную страницу подтверждения 3D Secure или OTP, где им предлагается ввести одноразовый пароль, отправленный их банком. Злоумышленники получают эту важную информацию, что позволяет им санкционировать мошеннические транзакции без ведома жертв. Затем жертвы перенаправляются на законный сайт, не подозревая о произошедшей краже.

Набор для фишинга использует Telegram в качестве центральной платформы для всех этапов атаки, облегчая коммуникацию и обмен информацией между киберпреступниками. Эта интеграция показывает, как Telegram стал жизненно важной инфраструктурой для организации многочисленных киберпреступных действий в рамках различных кампаний.

#ParsedReport #CompletenessLow
13-11-2025

October 2025 Infostealer Trends Report

https://asec.ahnlab.com/ko/91022/

Report completeness: Low

Threats:
Seo_poisoning_technique
Rhadamanthys
Acr_stealer
Lumma_stealer
Dll_sideloading_technique
Amatera_stealer

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 4

Algorithms:
md5

Languages:
php, powershell

#ParsedReport #CompletenessMedium
13-11-2025

Digit stealer: a JXA-based infostealer that leaves little footprint

https://www.jamf.com/blog/jtl-digitstealer-macos-infostealer-analysis/

Report completeness: Medium

Threats:
Digitstealer
Odyssey_stealer
Macsyncstealer
Typosquatting_technique

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.004, T1059.002, T1059.004, T1059.007, T1105, T1204.002, T1518.001, T1547.001, have more...

IOCs:
File: 21
Hash: 24
Url: 15
Domain: 2

Soft:
macOS, Gatekeeper, curl, sysctl, Ledger Live, Chrome, Firefox, Telegram

Wallets:
electrum, coinomi

Algorithms:
zip, base64, md5, sha256

Languages:
applescript, javascript

Platforms:
arm, intel, apple

Links:
https://github.com/electron/asar
have more...
https://github.com/search?q=org%3Aapple-oss-distributions+FEAT\_ECV&type=code

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это сложный стиллер для macOS, использующий передовые методы для уклонения от обнаружения, включая проверку Аппаратного обеспечения и многоэтапное выполнение. Вредоносное ПО работает через дроппер, который извлекает и выполняет ряд полезных функций, начиная с базового AppleScript для запроса паролей пользователей и заканчивая сильно запутанным стиллером на основе JXA. Конечная полезная нагрузка устанавливает постоянный бэкдор с помощью Агента запуска, обеспечивая постоянный доступ для эксфильтрации данных.
-----

DigitStealer представляет собой сложный стиллер для macOS, идентифицированный Jamf Threat Labs. Это вредоносное ПО использует передовые методы, чтобы избежать обнаружения и извлечь конфиденциальную информацию из своих целей. Анализ различных этапов атаки выявляет методичный подход, использующий проверки Аппаратного обеспечения и многоэтапное выполнение для повышения скрытности.

Атака начинается с начального дроппера, где содержимое файла с именем Drag Into Terminal.msi включает простую команду bash, которая использует curl для извлечения удаленной полезной нагрузки, которая затем выполняется через bash. Первая полезная нагрузка - это не запутанный стиллер AppleScript, который запрашивает пароль пользователя после инициализации своих переменных. Эта полезная нагрузка на ранней стадии создает основу для последующих, более сложных атак.

За первоначальной полезной нагрузкой следует второй, более сложный стиллер на основе JXA, который снова извлекается с помощью curl и выполняется как JavaScript через osascript. Эта полезная нагрузка JXA сильно запутана, что наводит на мысль о намерении авторов скрыть ее истинную функциональность как от пользователей, так и от средств безопасности. Третья полезная нагрузка служит заменой Ledger Live, возвращаясь к тактике запутывания, но она меньше по размеру по сравнению со своим предшественником, что указывает на потенциальную эволюцию дизайна для повышения скрытности.

Конечная полезная нагрузка интегрирует постоянный бэкдор с использованием Агента запуска, усиливая способность вредоносного ПО сохранять себя в скомпрометированных системах без обнаружения. Этот бэкдор обеспечивает непрерывный доступ, что делает стиллер более опасным, поскольку позволяет осуществлять эксфильтрацию данных с течением времени.

#ParsedReport #CompletenessLow
13-11-2025

Unmasking Vo1d: Inside Darktraces Botnet Detection

https://www.darktrace.com/blog/unmasking-vo1d-inside-darktraces-botnet-detection

Report completeness: Low

Threats:
Vo1d

Victims:
Smart tv users, Android tv box users, Consumer electronics

Industry:
Media

Geo:
South africa, African

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1071.004, T1090, T1105, T1568.002, T1583.001, T1583.003

IOCs:
IP: 1
Domain: 7

Soft:
Android